Bem-vindo ao Circuito de Palestras EXIN 2014 Conheça o novo Portfólio EXIN:

Transcrição

1

2 Bem-vindo ao Circuito de Palestras EXIN 2014 Conheça o novo Portfólio EXIN:

3 Iluminando mentes, capacitando profissionais e protegendo negócios. Segurança da Informação: Práticas de Gestão de Risco da ISO 27001:2013 com o RealISMS. Claudio Dodt, ISMAS, CISSP, CISA, ISO Lead Auditor Business Continuity & Security Senior Consultant Sócio-Gerente claudio.dodt@daryus.com.br claudiododt.com

4 AGENDA DARYUS A norma ISO Uma visão holística O processo de Gestão de Riscos de Segurança da Informação Como vemos Segurança da Informação? Práticas com o RealISMS Perguntas

5 Quem somos: O Strategic Risk Consulting não está apenas no nome, é fato. Nascemos em 2006 com o objetivo de popularizar as práticas de gestão de riscos pervasivas aos processos de gestão empresarial. Entendemos que práticas de segurança, continuidade, riscos, conformidade e governança de TIC são partes fundamentais da gestão moderna e não complementos. A capacitação contínua das pessoas, a revisão continua dos processos, controles para mitigar riscos e as certificações nas normas ISO são fatores de sucesso e amadurecimento empresarial que acreditamos. DARYUS = Uma consultoria, uma escola de negócios e duas empresas de tecnologias que agregam valor, reduzem custos e minimizam riscos.

6 Nossas unidades

7 Nossos serviços: Continuidade de Negócios Segurança da Informação Gestão de Processos de Negócios Governança, Risco e Conformidade

8 A norma ISO :2005 Objetivo: Prover Esta um norma modelo foi para preparada estabelecer, para implementar, fornecer os operar, requisitos monitorar, para estabelecer, analisar criticamente, implementar, manter e melhorar um continuamente Sistema de um Gestão Sistema de de Segurança Gestão de da Segurança Informação da (SGSI). Informação. A é a principal família de normas de Segurança da Informação aceitas internacionalmente; Aplicável a qualquer organização, independentemente de tamanho ou segmento; Base para uma certificação, mas pode ser usada mesmo sem esse objetivo.

9 A norma ISO :2013 Objetivo: Esta norma foi preparada para fornecer os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação. Atualizada em 25 de Setembro de 2013; Update foi baseado na experiência de usuários que buscavam certificação; Objetivo principal é simplificar a abordagem e proporcionar melhorias na gestão de riscos. É possível baixar gratuitamente a ISO 27000:2012 (vocabulário) aqui: (em inglês)

10 Uma visão holística Essa é a visão da ISO 27001

11 O processo de Gestão de Riscos de SegInfo Processo de Gestão de Riscos ISO 27005:2011 COMUNICAÇÃO DO RISCO DEFINIÇÃO DO CONTEXTO ANÁLISE / AVALIAÇÃO DE RISCOS ANÁLISE DE RISCOS IDENTIFICAÇÃO DE RISCOS PONTO DE DECISÃO 1 Avaliação Satisfatória PONTO DE DECISÃO 2 Tratamento Satisfatório ESTIMATIVA DE RISCOS AVALIAÇÃO DE RISCOS Sim Não TRATAMENTO DO RISCO Sim Não MONITORAMENTO E ANÁLISE CRÍTICA DE RISCOS O objetivo é reduzir o risco a um nível aceitável e não extinguir o risco. Processo do SGSI Processo de gestão de riscos de SI Planejar Definição do contexto Análise/avaliação de riscos Definição do plano de tratamento do risco Aceitação do risco Executar Implementação do plano de tratamento do risco Verificar Monitoramento contínuo e análise crítica de riscos Agir Manter e melhorar o processo de Gestão de Riscos de Segurança da Informação ACEITAÇÃO DO RISCO

12 O processo de Gestão de Riscos de SegInfo PLANO DE TRATAMENTO DE RISCOS Plano para identificar a ação de gestão apropriada, recursos, responsabilidades e prioridades para a gestão dos riscos de segurança Todos os controles planejados devem ser incluídos em um Plano de Tratamento de Riscos. O objetivo do tratamento de riscos não é a eliminação completa e sim diminuir o nível de risco para um patamar tido como aceitável. Controles que não são justificáveis do ponto de vista do negócio não devem ser implementados.

13 O processo de Gestão de Riscos de SegInfo PLANO DE TRATAMENTO DE RISCOS Tratamento do Risco Resultado da Avaliação de Riscos Opções de Tratamento Reduzir Reter Evitar Transferir Risco Residual

14 O processo de Gestão de Riscos de SegInfo Opções de Tratamento Reduzir Aplicação de um controle para que o Risco seja reavaliado como aceitável. Reter Caso o Risco atenda os critérios para aceitação o mesmo poderá ser retido. Evitar O Risco pode ser evitado através da eliminação da atividade ou processo de negócio ou de uma mudança significativa no ambiente (e.g. mudar um Datacenter de localidade) Transferir O Risco pode ser transferido para uma outra entidade (e.g. Contratação de um seguro, terceirizar). É importante lembrar que não se pode transferir completamente a responsabilidade pela segurança da informação.

15 Como vemos SegInfo? Confidencialidade Segurança da Informação Integridade Disponibilidade Pessoas Processos Tecnologia

16 Miopia do Iceberg Tecnologia Tecnologia é......a mera ponta......do iceberg.

17 Miopia do Iceberg Tecnologia Investimento inteligente Padrões Testados Processos Pessoas Visão Estratégica Formalização Seleção Capacitação Reciclagem Conscientização

18 Práticas com o RealISMS real ISMS Suporte completo a biblioteca de riscos e controles da ISO 27001; Mapeamento de Ativos de Informação; Identificação e Tratamento de Riscos; Controle de Documentos, Normas, Procedimentos; Gestão de Incidentes de Segurança.

19 Práticas com o RealISMS real ISMS Metodologia DARYUS para Atendimento aos requisitos da ISO Plan Do Check Definição do escopo Análise/Avaliação de Gap/Riscos Plano de Tratamento dos riscos Avaliação e Tratamento de riscos Treinamento e conscientização Declaração de aplicabilidade Auditorias internas Métricas e indicadores do SGSI Identificação de nãoconformidades Act Tratamento de nãoconformidades Apoio na auditoria de 3ª. parte

20 Práticas com o RealISMS Dashboard Sumário da Gestão de Riscos

21 Práticas com o RealISMS Matriz de Risco com 5 níveis Muito Baixo Baixo Médio Alto Muito Alto Nível de Risco por: Área Processo Ativo Dashboard Sumário da Gestão de Riscos

22 Práticas com o RealISMS

23 Práticas com o RealISMS Gestão dos Riscos Área Processo Ativo Risco Controle

24 Práticas com o RealISMS Área Processo Ativo Risco Controle

25 Práticas com o RealISMS Área Processo Ativo Risco Controle

26 Práticas com o RealISMS Área Processo Ativo Risco Controle

27 Práticas com o RealISMS Área Processo Ativo Risco Controle

28 Práticas com o RealISMS Risco Potencial 25 Muito Alto Área Processo Ativo Risco Controle

29 Práticas com o RealISMS Uma das opções é reduzir o nível de Risco com Controles de Segurança Área Processo Ativo Risco Controle

30 Práticas com o RealISMS Risco Potencial 25 Muito Alto Risco Residual 14 3 Muito Alto Baixo Área Processo Ativo Risco Controle

31 Práticas com o RealISMS Risco Reduzido

32 Práticas com o RealISMS Controles de Segurança diretamente alinhados as melhores práticas, criando o RTP Plano de Tratamento de Riscos Visão Geral dos Controles

33 Práticas com o RealISMS Relatórios Detalhados

34 Perguntas? Vamos iniciar a sessão de PERGUNTAS. Utilize a ferramenta do chat (para digitar) ou do hands on (para pedir acesso e perguntar diretamente ao palestrante.

35 Calendário Cursos ISFS - ISO Foundation - Segurança da Informação: conceitos e fundamentos São Paulo - 16 a 17/04/2014 diurno Brasília - 06 a 07/05/2014 diurno Fortaleza - 22 a 25/04/2014 noturno ISMAS - ISO Advanced - Segurança da Informação: gerenciamento avançado São Paulo - 21 a 23/05/2014 diurno Brasília - 21 a 23/05/2014 diurno Fortaleza - 21 a 23/05/2014 diurno ITIL Foundation - Gerenciamento de Serviços de TI Fortaleza - 12 a 16/05/2014 diurno * Válido até 15/05/2014

36 Obrigado! Claudio Dodt, ISMAS, CISSP Business Continuity & Security Senior Consultant

37 ACESSO AO MATERIAL Vamos Vamos disponibilizar o link com Cópia desta apresentação + Certificado de Participação para todos que responderem nossa pesquisa de satisfação e nos ajudarem a aprimorar nossas futuras ações (acesso imediato ao de desconectar da sessão ao final da apresentação). Você também pode acessar nosso canal do YouTube e Slide Share para ter acesso a todas as apresentações realizadas em 2012 e Mais Informações? Milena Andrade Regional Manager Milena.andrade@exin.com